[risolto][win Xp] Braviax.exe [Archivio]

View Full Version : [risolto][win Xp] Braviax.exe

kenshiro82

04-02-2008, 10:43

Conoscete questo virus????
antivir di avira me lo segnala ma non appena lo metto in quarantena si riavvia il pc. se lascio la maschera con la detection di antivir non si spegne il pc.
inoltre mi blocca alcuni antispyware: tipo spybot superantispyware avg antispyware

Nuz

04-02-2008, 11:45

Prova a rimuoverlo con Killbox:

http://killbox.net/downloads/KillBox.exe

Per essere certo che non ci siano altre infezioni puoi eseguire l'analisi preliminare della GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737).

Gigoachef

05-02-2008, 12:30

Ciao a tutti!

Anche io mi trovo nella situazione descritta da kenshiro82, dal momento dell'infezione non è più possibile lanciare Spybot S&D. Funziona solo il TeaTimer che finora, assieme a Spyware Terminator, ha impedito che la "bestiola" apportasse modifiche al registro di sistema.

I file infetti che Avira AntiVir PE Classic ha trovato finora sono stati:

C:\Windows\braviax.exe
C:\WINDOWS\cru629.dat
C:\WINDOWS\system32\cru629.dat

Ho seguito i passaggi consigliati per un'analisi preliminare del problema e questi sono stati i risultati:

ESET ADS Revealer: ha trovato dei file chiamati A0023269.exe (e codici numerici simili) in una sperduta cartella (D:\System Volume Information\_restore\RPqualcosa... che però non è sul disco dov'è installato il sistema operativo, ma su quello dove tengo i dati. In ogni caso, non conoscendoli, per precauzione li ho eliminati. Tutti gli altro erano ok (file conosciuti, thumbs.db ecc.) e quindi non li ho toccati.

A-Squared Free (scansione Deep): ha trovato i soliti cookie data-miner, ma niente altro.

PrevxCSI: non parte neanche rinominando il file.

HiJackThis: parte solo rinominandolo, io l'ho chiamato beppe.exe e questo è il log:

Trend Micro Housecall: nessun file infetto.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.31.14, on 05/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\SPYWAR~1\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\Alessandro\Desktop\beppe.exe NOTA: è HJT stesso rinominato

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {38135E75-34A9-49EC-B83D-9F9A31877CA0} (DLITools.Uploader) - https://lgp.lionbridge.com/DLIUploaderV2.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{C965F167-38BA-4957-836B-A987B0C5C4AE}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: cru629.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~1\sp_rsser.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Programmi\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 5144 bytes

L'unica voce sicuramente da eliminare mi pare sia O20 - AppInit_DLLs: cru629.dat, che infatti ho provato a fixare ripetutamente purtroppo senza esito, dato che a ogni riavvio i file vengono ricreati e il problema si ripresenta.

Gmer: ancora non l'ho installato, ma appena avrò i risultati della scansione li posterò qui.

Come ultima cosa, Killbox ha fallito miseramente, anche con l'opzione Delete on Reboot. Anche qui, al reboot i file erano di nuovo immancabilmente dove li avevo lasciati.

In ogni caso, sebbene il virus sembra sia apparso solo ieri, le informazioni cominciano ad esserci. Virustotal.com, ad esempio, ha una pagina su questo virus a quest'indirizzo (http://www.virustotal.com/it/analisis/6be345a87e9f38f18bed90db30dc8dd0).

Ora bisogna solo capire con quali strumenti eliminarlo.

Attendo i vostri consigli.

Grazie

Gigoachef

05-02-2008, 13:30

Aggiornamento

Neanche Gmer parte. Però, rinominandolo test.exe, come consigliato sul suo sito, ottengo questo messaggio:

Warning !!!
Loaded GMER's driver version is incompatible with the currently running GMER application.
You need to stop the driver with the command "net stop gmer" or restart your computer.

Che per me è aramaico antico. (Non per l'inglese, ma perché come al solito è un'informazione utile solo a chi già sa di cosa si tratta e probabilmente non ne ha nemmeno bisogno!) :mad:

Gmer cmq parte lo stesso, ma non sapendo come si ferma il driver (che é il comando "net stop gmer"? dove lo scrivo?) sono stato costretto a riavviare il computer. Dopodiché, lanciando nuovamente Gmer, il messaggio è riapparso tale e quale, per cui sono punto e a capo.

A questo punto, che fare?

murack83pa

05-02-2008, 13:51

ciao

x prima cosa, disattiva il ripristino configurazione sistema

tutto ciò che trova eset lo devi cancellare: nn ho cpt cosa hai fatto? se nn hai cancellato quello che ha trovato(tasto clean) rifai la scansione e cancella tutto (nn ti preoccupare di quello che c'è scritto, cancella tutto)

fixa queste voci in hijackthis:

O16 - DPF: {38135E75-34A9-49EC-B83D-9F9A31877CA0} (DLITools.Uploader) - https://lgp.lionbridge.com/DLIUploaderV2.CAB
O20 - AppInit_DLLs: cru629.dat

nn ho cpt cosa hai fatto con quei file trovati da avira...li hai cancellati?
hai rifatto la scansione con avira?

fai una scansione online con kaspersky:
http://www.kaspersky.com/virusscanner

e posta qui il log

kenshiro82

05-02-2008, 14:09

ragazzi sto seguendo poi faro' le procedure anch'io, ora non ho tempo.
thx

Gigoachef

05-02-2008, 15:58

Ciao Murack,

allora, il Ripristino configurazione di sistema l'avevo già disattivato, ma in effetti mi ero dimenticato di dirlo nel primo post.

Poi, ho ripetuto la scansione con ESET ADS Revealer e stavolta ho sterminato tutto quello che ha trovato. Mi sono rimasti 5-6 file di cui ESET mi ha avvertito di non poterli cancellare poiché il percorso è sbagliato, che non mi è chiaro cosa voglia dire dato che i file sono lì. :confused: In ogni caso fanno riferimento a file che si trovano sul disco dei dati da alcuni secoli e di cui conosco l'origine, quindi sono abbastanza fiducioso del fatto che siano puliti.

Per quanto riguarda il log di HiJackThis, come dicevo, l'unica voce che non quadra è O20 - AppInit_DLLs: cru629.dat, ma malgrado continui a fixarla torna in continuazione. L'altra voce (O16) è a posto. Si tratta di un controllo ActiveX di IE ed è proveniente da fonte assolutamente sicura.

Con Avira Antivir invece, la prima scansione trova i file di cui sopra (con la differenza che stavolta braviax.exe l'ha individuato anche dentro \system32 invece che solo direttamente dentro la cartella di Windows. L'altro file (cru629.dat) invece lo trova sia dentro che fuori. I due file braviax.exe vengono riconosciuti come infetti con il Trojan AGENT.11264.62, mentre i due cru629.dat conterrebbero il Trojan CRYPT.XPACK.GEN.

Ora, tutti questi quattro file li ho cancellati (niente quarantena, proprio cancellati) mano mano che procedeva la scansione. Un volta ultimata, ne ho effettuata una seconda e al termine il sistema sembrava pulito. Ho ri-fixato la voce O20 in HiJackThis e ho riavviato il PC. Risultato: tutti e quattro i file sono di nuovo lì dove li aveva trovati Avira Antivir.

Ora sto facendo fare la scansione online a Kaspersky, come mi hai consigliato. L'ho fatta fare completa, quindi ci vorrà un po'. Appena ho il log lo posto.

Grazie ancora.

Gigoachef

05-02-2008, 18:06

Ecco qui sotto il log della scansione effettuata con Kaspersky Virusscan:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, February 05, 2008 5:03:59 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 5/02/2008
Kaspersky Anti-Virus database records: 549581
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
H:\

Scan Statistics:
Total number of scanned objects: 60396
Number of viruses found: 1
Number of infected objects: 3
Number of suspicious objects: 0
Duration of the scan process: 00:51:21

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\Alessandro\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Alessandro\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Alessandro\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Alessandro\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Alessandro\Impostazioni locali\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\Alessandro\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Alessandro\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Alessandro\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\braviax.exe Infected: not-a-virus:FraudTool.Win32.UltimateDefender.af skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{E7ECE6A2-CE1C-4C15-88E0-F75DFA41EC7E}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\braviax.exe Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Object is locked skipped
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\dllcache\beep.sys Infected: not-a-virus:FraudTool.Win32.UltimateDefender.af skipped
C:\WINDOWS\system32\drivers\beep.sys Infected: not-a-virus:FraudTool.Win32.UltimateDefender.af skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.

A questo punto, credo di capire che il problema dell'eterno ritorno dei quattro file di cui ho parlato prima possa essere dovuto ai due nuovi file infetti che Avira Antivir aveva mancato di individuare. Rispettivamente:

C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\beep.sys

Quello che non mi torna però è che, secondo Kaspersky, questi due file sarebbero infestati da not-a-virus:FraudTool.Win32.UltimateDefender.af. Ora però a me non risulta che il mio PC abbia nessuno dei sintomi connessi a Ultimate Defender (clicca qui (http://www.bleepingcomputer.com/forums/topic98811.html)).

E in ogni caso, sono sicuri da eliminare quei due file?

Grazie di nuovo

PS Curioso notare che secondo Kaspersky i file cru629.dat sono puliti!

xcdegasp

06-02-2008, 10:55

@ Gigoachef:
le cose mostrate nel log da HiJackThis alla voce O16 puoi tutte fixarle perchè non impedisce nulla e fa sicuramente una pulizia che non fa male al sistema ;)

attendiamo tutti i log, ad ogni modo quando li pubblichi uppali sul host remoto che risultano più leggili per noi che ti aiutiamo.
magari quando inserisci il link indica anche che a che log si riferisce ;)

Gigoachef

06-02-2008, 17:41

Alla fine il pestifero braviax è stato sconfitto :winner:

Ho controllato i 2 file beep.sys trovati da Kaspersky e, per qualche motivo che mi sfugge, soltanto quello contenuto in \drivers è risultato realmente infetto (ho controllato con i checksum MD5 quello dentro \dllcache ed era regolare anche la data, mentre l'altro risultava modificato guardacaso due giorni fa).

Ho cancellato definitivamente (Maiusc+Del) l'infetto e l'ho sostituito con l'originale pulito dal CD di installazione di WinXP. Poi a quel punto ho ripreso Killbox e (ri)terminato quei 4 file braviax.exe e cru629.dat con l'opzione Delete on Reboot. (Forse si poteva procedere anche manualmente, ma non ho provato.)

Infine, prima di riavviare il PC, con HiJackThis ho (ri)fixato la voce O20 per l'ultima volta et, voilà, ora il PC è pulito. Per conferma ho passato Panda ActiveScan with TruPrevent che non mi ha dato segnalazioni di sorta.

Ora una bella spazzatina in giro con CCleaner e via :D

Grazie per l'aiuto e spero di essere stato io a mia volta di aiuto a qualcun altro.

PS Grazie del suggerimento xcdegasp! ;)

StromKnight

18-02-2008, 19:03

Ciao a tutti ragazzi.. io ho avuto proprio questo problema ieri notte, e stamattina ho cercato un rimedio su internet ed ho trovato il vostro, grazie mille!! Mi avete salvalto il pc da una formatazzione sicura.. ciao ciao

spaziba89

24-05-2008, 15:08

ciao sono nuovo e purtroppo ho il virus braviax.. e spero solo quello.. ho fatto molte scansioni.. se metto i log delle scansioni ce qualcuno che mi puo aiutare??

xcdegasp

24-05-2008, 16:35

certo che sì, pubblica tutti i log magari preferendo di inviarli in uno dei server consigliati e poi di pubblicare qui il solo link al download :)

spaziba89

24-05-2008, 17:51

ciao grazie mille ma sono riuscito a risolvere e eliminare tutto:) ci sono stato 5 ore.....:muro:

xcdegasp

24-05-2008, 18:01

se il pc non ti da più segni strani, puoi o fare un log del solo sysinspector e hijackthis così ci do' un occhio solo per confermare che non vis ia altro..
oppure puoi passare direttamente al thread:
Trattamento post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

:)

stekanio

24-05-2008, 19:31

xcdegasp

24-05-2008, 20:48

ehi ragazzi, sono anche io alle prese con braviax.... sto scaricando Kaspersky, e sto cercando di seguire le vostre indicazioni. Ma da ignorante in materia :wtf: , cosa significa 'fixare'? cancellare?
Grazie mille, sto impazzendo....
fixare significa rieseguire HiJackThis, selezionare l'opzione "Scan Only" e poi infine selezionare le righe desiderate e premere il tasto in basso a sinistra "Fix Checked" :)

Nessun file viene cancellato tramite HiJackThis :)

zuipli

25-05-2008, 10:34

Ciao,
anch'io ho il braviax.exe.
A parte come si elimina (io di solito formatto e reinstallo), le due cose che mi chiedo sono queste:
1) dopo una settimana di permanenza sul mio HD, stando al mio firewall il buon braviax non ha mai cercato di uscire dal mio PC; l'ha fatto solo oggi, quando - come prova - ho abboccato alla sua richiesta di cliccarci sopra; a quel punto ha cercato di uscire e il firewall l'ha bloccato. Così... mi incuriosiva il fatto che stia lì ad aspettare che qualcuno lo attivi e non faccia dei tentativi in proprio. Cos'e'? Un malware gentiluomo?
2) qualcuno sa cosa faccia nel caso non venga bloccato? che tipo di dati trasmetta, ecc...

ciao

spaziba89

26-05-2008, 19:39

vi prego ho bisogno di un aiuto super urgente.... dopo aver tolto braviax e sono sicuro che non ci sia piu... mi da sempre: erroreGeneric host process for win32 services... girando un po in internet ho scoperto che questo blocca le connessioni.. cioe disconnette il pc... mentre a me blocca tutte le icone e ogni volta devo spegnere e riavviare... cosa posso fare??? aiuto... :cry:

CLAUDIO78

19-06-2008, 23:25

per favore potreste riscrivere passo passo la procedura per rimuovere braviax/xp securitycenter dal PC????
Mi ha disattivato il Nod32 che ho disinstallato ma non mi fa reinstallare più nulla, ne hijack, ne kasperky, ne altri...sono totalmente scoperto con quell'icona rossa in basso a destra che mi invita continuamente ad acquistare xp securitycenter..aiuttooooo:help:
tnks a lot

wjmat

19-06-2008, 23:59

disabilita il ripristino conf. di sistema
scarica hijackthis, rinominalo con un nome a casaccio e carica un log

CLAUDIO78

20-06-2008, 10:11

ho fatto tardi ma alla fine "sembra" si sia arreso, quel maledetto.
Penso sia stato il virus più duro che abbia mai incontrato:muro: .
Una delle cose che più mi ha dato fastidio è stato il fatto che molti programmi antivirus/antimalware in modalità provvisoria non fungono mentre in passato quella di operare "in provvisorio" era una delle soluzioni/opzioni più frequenti, anche perchè il virus non si "avviava" con altri driver e lo potevi tranquillamente eliminare.
Onestamente non saprei dire come ho fatto, ho usato tutti i software esistenti ma mi viene il dubbio che la cosa giusta l'ho fatta seguendo Gigoachef, ho infatti eliminato manualmente (start-cerca-tutti i file-.sys) il beep.sys dalla cartella \driver (io ne avevo solo uno) e il cru629.dat (start-cerca-.dat), ho ridato al s.o. il beep.sys tramite CD di windows, poi ho eliminato con killbox il braviax.exe (una cosa curiosa: ho scaricato una prima volta killbox ma non me lo avviava come tutti gli altri programmi, allora senza eliminare l'exe precedente l'ho riscaricato e firefox l'ha automaticamente rinominato killbox(2).exe e così ha funzionato:D mistero...).
Killbox ha eliminato il braviax con tanto di avviso, mi ha chiesto di riavviare e al nuovo boot il virus non c'era più:sofico: ....sperem...

wjmat

20-06-2008, 10:24

ciao, sono contento che hai risolto
per sicurezza posta un log di hijackthis e fai una scansione con prevx che è veloce

poi per info personali e magari per altri...
hai operato in provvisoria?
come hai ripristinato il file da cd di win?

CLAUDIO78

20-06-2008, 14:03

ora non posso postare il log di hijack perchè il problema affliggeva un notebook che non ho sottomano.
Appena possibile il pc sarà scansionato con tutti i software che ieri notte gli ho installato (kapersky, ad-aware, spybot, a-squared, prevx, etc etc etc).
Infine, non ho operato in provvisoria proprio perchè la maggior parte dei software attuali funzionano tramite "servizi" che non si avviano in modalità provvisoria (basta andare su START-ESEGUI-MSCONFIG-SERVIZI e spuntando "nascondi i servizi Microsoft" balzano agli occhi) quindi se tenti di avviarlo questo non parte.
Poi credo che braviax.exe corrompa quel file sys che a sua volta inibisca l'esecuzione degli altri software o li danneggi durante l'installazione, dato che alcuni non me li ha fatti installare mentre altri si ma non avviare.
Ps: appena cancellato il file beep.sys mi è apparsa una finestrella che chiedeva il cd di winXP in modo da cercare il file mancante. Ho inserito il cd, gli ho dato l'ok, ha rimuginato un attimo e poi è scomparso tutto. Deduco che abbia copiato il file dal disco.

IddoCop

08-07-2008, 14:11

Aiutoooooo....ieri il mio antivirus Kapersky aprendo una pagina internet, mi ha segnalato un tentativo di installazione di un worm....io naturalmente gli ho detto di negare la procedura e l'avviso mi è uscito per tre volte. All'ultimo avviso mi chiedeva di interrompere e io acconsentivo. Mi si chiudeva la pagina web e il pc si resettava. All'avvio del PC l'antivirus non era più attivo, il Firewall neanche e spuntava fuori questa icona (bollino rosso con la x bianca) che mi avvisava in inglese che il mio Pc era infetto. Poi mi si apriva la pagina di qst XP Security Center il quale iniziava il controllo della macchina trovandomi dei virus e dei worm. Dubbioso di qst programma saltato fuori all'improvviso.....sono andato avanti cautamente e quando ho cliccato per vedere che era mi mandava ad una pagina web dove mi proponevano di comprare qst programma che avrebbe risolto il mio problema. http://it.pcthreat.com/parasitebyid-6864it.html
Ho fatto di tutto....ho cancellato tante file che hanno già segnalato ma il file xpsecuritycenter.exe e braviax.exe dopo essere stati cancellati ritornano d'incanto....ora non mi resta che voi...che qualcuno mi aiuti!!! Sono nelle vostre mani....se no mi tocca finire nelle mani del Signor Format C: :-(

wjmat

08-07-2008, 14:21

YayaEfr

20-08-2008, 11:14

Chill-Out

20-08-2008, 11:41

Anche io sono alle prese con questo virus sto seguendo la procedura della DISINFEZIONE PER INFETTI.
Ho disattivato il ripristino di sistema e ho fatto pulizia con ATF CLEANER.
Ora sto iniziando con gli altri programmi, però leggendo inq uesto topic ho visto questa risoluzione di cancellare file in che cosa consiste?

Cioa è molto probabile che i tool indicati nella Guida che stai giustamente seguendo elimini l'infezione, al termine allega tutti i log per il controllo

YayaEfr

20-08-2008, 11:52

Li scriverò tutti qui editando man mano.

1. Log di Malwarebytes Anti-Malware mbam-log-08-20-2008 (12-46-57).txt (http://wikisend.com/download/612958/mbam-log-08-20-2008 (12-46-57).txt)
2. Log di A-Squared Free a2scan_080820-125559.txt (http://wikisend.com/download/226716/a2scan_080820-125559.txt)
3. Log di F secure Online Scanner F-secure online scanner.txt (http://wikisend.com/download/788378/F-secure online scanner.txt) (non ha trovato nulla)
4. Dr. Web Cure it non ha trovato nulla
5. Log di Eset Sys Inspector Sys Inspector (http://www.mediafire.com/?sharekey=0d7a0b4cfcf226c0ab1eab3e9fa335caedefd7275c494306)
6. Log di HiJackthis hijackthis.log (http://wikisend.com/download/487658/hijackthis.log)
7. Log di Gmer GMER.log (http://wikisend.com/download/570564/GMER.log)
8. Prevx PREVX.log (http://wikisend.com/download/611736/PREVX.log)

Voci rosse di Gmer:

Library C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1412] 0x78130000

Library C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll (*** hidden *** ) @ C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe [1744] 0x78130000

Library C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll (*** hidden *** ) @ C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe [1752] 0x78130000

Library C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [2016] 0x78130000

(Ho CAmbiato il log di MalwareBytes Anti-Malware)

xcdegasp

20-08-2008, 13:34

rifai la scansione con malwarebytes inquanto a fine scansione devi dare il comando elimina se vuoi che corregga cio che trova :)

YayaEfr

20-08-2008, 14:14

L'ho fatto però forse avrei dovuto fare il log dopo vero?
edit:

sono riuscita a recuperare il log dove mi dava la giusta eliminazione ora lo posto
scusatemi

YayaEfr

20-08-2008, 16:20

Ok sto procedendo con Dr.Web Cure it!
Mi auguro funzioni tutto questo, F-secure non ha rilevato nulla forse xkè il mio antivirus AntiVir di Avira aveva già messo in quarantena tutto.
Ho chiuso i fastidiosi processi che mi facevano apparire gli avvisi spyware quindi sto eseguendo tutto in tranquillità.
Mi auguro che tt si possa risolvere

YayaEfr

20-08-2008, 19:07

Finito

xcdegasp

21-08-2008, 00:19

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

per prevx:
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\1OXDBH9R\AV2009Install_77040507[1].exe InMem: 0 Det [B] PX5: 1957D01621AE99EE2DA201349CAFD800F7AC7801 Malware Group: Fraudulent Security Program

Scaricare ed eseguire ATF-Cleaner -> download (http://www.atribune.org/public-beta/ATF-Cleaner.exe) seguendo queste brevi indicazioni (non richiede installazione):
nella finestra che si è aperta contrassegnare "Select All", poi clickare sul menù "Firefox" e contrassegnare "Select All" e procedere nello stesso modo anche nel menù "Opera", infine premere "Empty Selected";

poi mi dovresti fare una nuova scansione con HiJackThis nel seguente modo:
aprire HiJackThis poi cliccare "open the misc tools section" andare in "open ads spy" levare la spunta a "quick scan" e infine avviare la scansione clickando sul tasto "scan". non è necessario pubblicare questo log
:)

se puoi dopo anche una bella scansione completa con avira e una nuova con gmer :)

YayaEfr

21-08-2008, 09:07

Sto eseguendo lo Scan con HiJackthis ma devo eliminare le voci che trova?
Comunque ho fixato le voci di prima.
A fine di tutto farò la scansione cn Avira e Gmer.
Dopo aver fatto questo spariranno dall'avvio Braviax.exe e Burritous.exe e 6.tmp?
Il TeaTimer bloccava eventuali modifiche del registro ma ho paura che nonappena io lo chiuda si ripresenti il problema.

Queste sono le voci risultate dalla scansione.. ora faccio quella di Avira

C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 84151293 (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : DFC5A2B2 (176 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 84151293 (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : DFC5A2B2 (176 bytes)

xcdegasp

21-08-2008, 11:05

Sto eseguendo lo Scan con HiJackthis ma devo eliminare le voci che trova?
assolutamente sì

Comunque ho fixato le voci di prima.
A fine di tutto farò la scansione cn Avira e Gmer.
Dopo aver fatto questo spariranno dall'avvio Braviax.exe e Burritous.exe e 6.tmp?
Il TeaTimer bloccava eventuali modifiche del registro ma ho paura che nonappena io lo chiuda si ripresenti il problema.
ti dice chi fa questa operazione altrimenti non serve a nulla quella segnalazione :)

Queste sono le voci risultate dalla scansione.. ora faccio quella di Avira

C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 84151293 (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : DFC5A2B2 (176 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 84151293 (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : DFC5A2B2 (176 bytes)
preferirei avere il report completo, grazie :)

YayaEfr

21-08-2008, 12:49

il report è qll completto sl che della seconda scansione di HiJackThis
Vi do anche il report di AVIRA
AVSCAN-20080821-101128-F68397D7.LOG (http://wikisend.com/download/904314/AVSCAN-20080821-101128-F68397D7.LOG)
e questa di GMER
GMER2.log (http://wikisend.com/download/560304/GMER2.log)

xcdegasp

21-08-2008, 13:01

avira non risulta impostato correttamente, per esempio non esegue azioni automatiche sui file individuati ma si limita all'interatività e in seconda istanza ignora, inoltre non ricerca i rootkit cosa che è fondamentale nel tuo caso :)
segui questa semplice guida -> http://www.hwupgrade.it/forum/showthread.php?t=1514684 e pubblica un nuovo log dopo averl impostato correttamente :)

mi spiace e non vorrei risultare pedante, purtroppo se non hai impostazioni corrette nonriusciamo a risolvere :(

gmer però mi sembra non abbia più avuto le voci rosse giusto? :p

YayaEfr

21-08-2008, 22:23

Ok scusatemi domani mattina eseguo il tutto ho avuto dei problemi a venire

YayaEfr

22-08-2008, 09:20

Ecco il nuovo log di Avira configurato questa volta

AVSCAN-20080821-233133-29F0BE84.LOG (http://wikisend.com/download/472578/AVSCAN-20080821-233133-29F0BE84.LOG)

Gmer non ha avuto voci rosse

xcdegasp

22-08-2008, 14:40

come ti sembra vada il pc ora?

YayaEfr

22-08-2008, 16:05

VA molto meglio infatti il teatimer non mi segnala più nulla qnd deve bloccare braviax sl che ho notato che sono rimasti andando da msconfig in avvio ed è strano ci sn 6.tmp braviax.exe e burritous.exe!

xcdegasp

22-08-2008, 16:07

pubblica un nuovo log di malwarebytes, hijackthis e sysinspector :)

YayaEfr

22-08-2008, 17:33

Ok sarà fatto
grazie mille per la pazienza :D

scusate se non ho ancora faccio nulla conto di farlo entro lunedì sapete com'è il weekend

klou

11-09-2008, 09:51

wjmat

11-09-2008, 10:26

nel trattamento che ho in firma trovi tutte le info per mettere al sicuro il pc

vorremmo vedere i log delle scansioni poi

kaolino

12-09-2008, 22:56

Ok sarà fatto
grazie mille per la pazienza :D

scusate se non ho ancora faccio nulla conto di farlo entro lunedì sapete com'è il weekend

Ciao, per solidarietà ti mando un link informativo: http://www.zring.it/virus-statement-of-fees-200809.html.

A parte l'ntroduzione sulli'infezione tramite mail (è stato preso in web con l'explorer 6 sul sito di un concessionario [sigh...]) e la perplessità sul file wpa.dbl (!!!) direi che è lui!
L'ho levato da modalità provvisoria - Administrator con "ComboFix"; poi ho fatto girare anche SDFix. Naturalmente leva qualsiasi connettività al web o rete e leva il ripristino di sistema!
Ciao spero di esserti stato utile.

wjmat

13-09-2008, 12:54

grazie per la segnalazione ma ho un dubbio sull'eliminazione di wpa.dbl ...

xcdegasp

13-09-2008, 15:02

Salve
Una volta rimosso questo virus (sto usando la guida per rimuovere i fake antivirus) quale antivirus mi consigliate?
Comunque io ho preso questo virus con internet explorer, visitando un sito che era affidabile...in pratica mi si è bloccato ie mi ha dato un errore su cmd (nn ricordo in realtà) e il pc si è riavviato da solo. Al riavvio ecco braviax.exe

Per curiosità...è una falla di ie che ha permesso al virus di intallarsi?
Come antivirus usavo kaspersky, non aggiornato da nn so quanto tempo cmq

IE è un browser che non offre all'utente delle impostazioni facili e sopratutto chiare, non permette neppure di impostare a singolo dominio l'esecuzione di script javascript questo lo rende di fatto vulnerabile perchè non avendo il controllo dell'esecuzione per dominio succede che se nel sito pippo.it ci fosse la presenza di un iframe (non appartenente al codice originale di quella pagina) che facesse eseguire un javascript presente su un dominio esterno tipo russiacattiva.ru , avresti come conseguenza che IE esegue lo script come appartenente al sito pippo.it .
Altri browser con Opera e Firefox (con l'estensione NoScript) offrono un controllo più comodo, sopratutto firefox, e sicuro :)

purtroppo è da due anni che siti leciti subiscono attacchi pesanti e frequenti che ne iniettano iframe estranei con l'intenzione di infettare i navigatori di quel sito, altri casi sono dovuti a contatori di statistiche che trasmettono codice infetto.

klou

15-09-2008, 17:21

IE è un browser che non offre all'utente delle impostazioni facili e sopratutto chiare, non permette neppure di impostare a singolo dominio l'esecuzione di script javascript questo lo rende di fatto vulnerabile perchè non avendo il controllo dell'esecuzione per dominio succede che se nel sito pippo.it ci fosse la presenza di un iframe (non appartenente al codice originale di quella pagina) che facesse eseguire un javascript presente su un dominio esterno tipo russiacattiva.ru , avresti come conseguenza che IE esegue lo script come appartenente al sito pippo.it .
Altri browser con Opera e Firefox (con l'estensione NoScript) offrono un controllo più comodo, sopratutto firefox, e sicuro :)

purtroppo è da due anni che siti leciti subiscono attacchi pesanti e frequenti che ne iniettano iframe estranei con l'intenzione di infettare i navigatori di quel sito, altri casi sono dovuti a contatori di statistiche che trasmettono codice infetto.

INFATTI!!!
Ho Firefox + Noscript...ma nn so perchè stavo usando IE in quel momento.
mannaggia a me! Cmq adesso sto usando il 2o pc, non ho molto tempo per toglierlo.
Non ci sono problemi per le password cmq...dico, posso effettuare login dal pc infettato?

PS tra l'altro c'è uno screensaver carino, una schermata blu di win, che nn penso sia una reale schermata...ma appunto uno screensaver perchè appena premo un tasto esce (col muouse niente)

xcdegasp

15-09-2008, 22:14

quel screensaver aveva fatto la comparsa nel 2003/2004, era per i nostalgici di winME :D
si è carino ma io personalmente preferisco far spegnere il monitor piuttosto :p

se non è un login del tuo homebanking direi che puoi stare tranquillo, ecviterei di accedere al conto corrente da quel pc più per precauzione, io per lo meno eviterei se non proprio costretto e altamente necessario :)
una volta che abbiamo certificato che sia pulito potrai riusarlo come meglio credi :)

klou

19-09-2008, 14:01

nel trattamento che ho in firma trovi tutte le info per mettere al sicuro il pc

vorremmo vedere i log delle scansioni poi

Allora è successo che Malware bytes mi ha rilevato dei files infetti.
Alcuni sono di sistema, e mettendoli in quarantena windows mi dice di inserire il cd d winxp xchè questi file sono stati sostituiti con versioni non riconosciute.
Adesso posto il log

wjmat

19-09-2008, 14:07

hai il cd di win aggiornato al sp attualmente installato?

klou

19-09-2008, 14:09

hai il cd di win aggiornato al sp attualmente installato?
Penso di si, se lo trovo...

Comunque non ho ancora riavviato il pc da quando è uscito il mex (cmq è quasi smpre acceso)

ah e malwarebytes diceva che al riavvio ne avrebbe eliminato un altro che sicuramente è di sistema

wjmat

19-09-2008, 14:16

proviamo a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.
Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato -> sp2
Start → Esegui → digita sfc /scannow (invio)

Chill-Out

19-09-2008, 14:27

C:\WINDOWS\system32\cssrss.exe -->> se ti riferisci a questo no

wjmat

19-09-2008, 14:39

C:\WINDOWS\system32\cssrss.exe -->> se ti riferisci a questo no
quello ho rivisto ora che è stato scaricato e poi eliminato
se gli chiede ancora il cd sfc dovrebbe rimettere a posto quello che non trova...

Chill-Out

19-09-2008, 14:42

quello ho rivisto ora che è stato scaricato e poi eliminato
se gli chiede ancora il cd sfc dovrebbe rimettere a posto quello che non trova...

si ma cos'è che non trova?

wjmat

19-09-2008, 14:43

si ma cos'è che non trova?
a me lo chiedi? :D

klou

19-09-2008, 14:51

a me lo chiedi? :D

Allora, nn appena trovo il cd vi faccio sapere
cmq la finestra che mi chiede d inserire il cd è ancora aperta. dice:"per conservare la stabilità del sistema occorre ripristinare le versioni originali dei file"
gli dico di riprovare prima di eseguire quel comando? magari li ripristina da solo

wjmat

19-09-2008, 14:54

per ripristinarli deve avere il cd... se vuoi provare a tuo rischio :D

klou

19-09-2008, 15:46

per ripristinarli deve avere il cd... se vuoi provare a tuo rischio :D

cmq, cosa fa quel comando?
mi conviene ripristinare dopo aver avviato quel comando?

Grazie

wjmat

19-09-2008, 16:04

http://support.microsoft.com/kb/310747/it
http://support.microsoft.com/kb/900910/it

klou

25-09-2008, 19:06

ok sta facendo la verifica
come avevi detto serviva il cd

wjmat

25-09-2008, 20:13

ok sta facendo la verifica
come avevi detto serviva il cd
quindi?

klou

26-09-2008, 08:07

quindi?

tutto ok
continuo a seguire la guida e poi posto i logs

klou

26-09-2008, 18:06

hijack con karina.dat

klou

26-09-2008, 18:09

a squared free

wjmat

26-09-2008, 19:48

hijack con karina.dat

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - AppInit_DLLs: karina.dat
O16 - tutte le voci senza riferimenti a microsoft

klou

27-09-2008, 07:45

eccolo
gli altri due con 016 posso toglierli? a cosa servono?

wjmat

27-09-2008, 07:48

eccolo
gli altri due con 016 posso toglierli? a cosa servono?
puoi toglierli tutti, se qualche programma li richiederà IE li riscaricherà ancora...

klou

27-09-2008, 08:42

fatto,qindi dovrebbe essere tutto ok?
ah,ultima cosa:si era creato un file delself.bat quando avevo il virus (e che non èstato cancellato).questo il contenuto

@echo off
:try
del "C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\NgtT.exe"
if exist "C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\NgtT.exe" goto try
del delself.bat

che è?

wjmat

27-09-2008, 08:53

procedi con la guida a quello pensiamo dopo...

klou

27-09-2008, 09:30

non ci sono i problemi di cui si parla ne secondo post
"Risoluzione possibili ulteriori problemi legati a VIRUS ALERT!"
Ho fatto scan e tutto come scritto nel 1o

wjmat

27-09-2008, 09:44

fai anche una scansione completa con Kaspersky removal tool http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

klou

27-09-2008, 09:48

fai anche una scansione completa con Kaspersky removal tool http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

ho un prodotto kaspersky installato, che cmq non è aggiornato da circa 2 anni
quindi non so quanto serva fare una scansione (con quello che ho)

wjmat

27-09-2008, 10:22

ho un prodotto kaspersky installato, che cmq non è aggiornato da circa 2 anni
quindi non so quanto serva fare una scansione (con quello che ho)

allora rimuovi kasp e metti antivir e lo imposti come da guida e fai una scansione completa
le info le trovi nel trattamento che ho in firma

klou

30-09-2008, 15:43

allora rimuovi kasp e metti antivir e lo imposti come da guida e fai una scansione completa
le info le trovi nel trattamento che ho in firma

non riesco a disinstallarlo a causa del fatto che un AV (mi pare fosse dr.cure) ha eliminato alcuni file di kaspersky (non c sono in quarantena). disinstallando mi da errore sul file unp012.avc, che c'è non è stato eliminato.

Posso provare ad installare la versione in prova di kaspersky 2009 ?
O prima devo riuscire a disintallare quello vecchio? (il 6.0)

l'ho semplicemente disattivato, va bene lo stesso?

wjmat

30-09-2008, 16:14

http://forum.kaspersky.com/index.php?showtopic=46926

poi metti antivir e fai come ti ho detto

klou

09-10-2008, 11:29

http://forum.kaspersky.com/index.php?showtopic=46926

poi metti antivir e fai come ti ho detto

Ho installato antivir e mi ha trovato qualcosa nel system volume information anche.
Tutto sembra andare bene. L'unica cosa è che da quando ho installato antivir ogni tanto mi succede che il pc si impalli, nel senso che impiega un sacco di tempo per fare qualsiasi cosa, rendendolo di fatto inutilizzabile. e non c'è modo di risolvere se non riavviando. Sembra che succeda quando apro programmi torrent o emule, però non ne sono sicuro!
Potrebbe essere antivir che sovraccarica? Prima non mi è mai successo

wjmat

09-10-2008, 11:55

ultimamente capita anche ad altri, mi pare sia per le impostazione dello scan degli archivi
prova a chiedere nella discussione ufficiale di antivir

ghigissimo

12-10-2008, 11:25

Nuz

12-10-2008, 11:30

salve ragazzi..sono due giorni che sono pieno di finti avvisi per scaricare fantomatici antispyware..due giorni che faccio scansioni con antivira-superantispyware..di tutto..trovano,eliminano-si riavvia il pc-il pc si riavvia da solo..credo di essere nel posto giusto..potreste darmi una manina??
grazie mille in anticipo

Il posto giusto per i falsi antivirus/antispyware è questo:

Guida alla rimozione dei Falsi Antispyware - Antivirus - Utility (Antivirus2008/AntivirXP08/ecc) e "Virus Alert" (http://www.hwupgrade.it/forum/showthread.php?t=1789446)

Posta lì i log delle scansioni già fatte e segui la guida nel primo post.

:)

ghigissimo

12-10-2008, 11:32

grazie e scusa se ho sbagliato a postare :)

Half shadow

15-08-2009, 08:55

Io ho preso quel virus ieri sera...
(ho Windows XP) Stavo cercando un torrent, sono entrato in un sito, ma le protezioni di Avira e Internet explorer 8 non sono bastate...
Il sito sembrava bloccato, quando ha ripreso a funzionare mi sono comparsi gli avvisi di Avira e quel finto messaggio di notifica in stile XP.
Mettevo i virus in quarantena, ma si riformavano tutti...
Ho provato a vedere nel Task Manager cosa ci fosse, non riuscivo a terminare il processo di Braviax.
Allora ho pensato di vedere cosa c'era in esecuzione automatica, uno strano exe mai visto prima e così l'ho tolto dall'esecuzione automatica e l'ho messo nel cestino.
Ma al successivo riavvio non cambiava niente.
Alla fine ho provato con il ripristino di sistema...
Sembra che sia tutto risolto, ma l'amico mi ha portato via una buona mezz'ora...
Dopo il ripristino ho visto che in quarantena i virus c'erano ancora, così li ho eliminati tutti.
Che dite, me ne sono liberato o c'è il rischio di infettare le chiavette?
Anche perchè se cerco Braviax con la ricerca di XP trovo sempre un file di nome Braviax nella cartella dei prefetch:
C/Windows/Prefetch/BRAVIAX.EXE-1AB7F89F.pf
Posso eliminarlo? Sono poco esperto di PC siccome.

toroxxx

22-08-2009, 13:12

Anche io ho questo virus, ma non capisco molto come cancellarlo: ho fatto la scansione con eset(e mi da: error deleteling the file stream, impossibile trovare percorso specificato), poi cosa evo fare con HijackThis?
questo è il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.02.29, on 22/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
D:\Programmi\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\AMD\RAIDXpert\jetty\extra\win32\Wrapper.exe
D:\Programmi\cFosSpeed\spd.exe
D:\Programmi\AMD\RAIDXpert\_jvm\bin\java.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\ups.exe
D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
D:\Programmi\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programmi\cFosSpeed\cFosSpeed.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programmi\ATITool\ATITool.exe
D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\braviax.exe
D:\Programmi\Mozilla Firefox\firefox.exe
D:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [amd_dc_opt] D:\Programmi\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [cFosSpeed] D:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATITool] "D:\Programmi\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [Regedit32] D:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [RocketDock] "D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://D:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - F:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AMD RAIDXpert (AMDRAIDXpert) - Unknown owner - D:\Programmi\AMD\RAIDXpert\jetty\extra\win32\Wrapper.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - D:\Programmi\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - D:\Programmi\cFosSpeed\spd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - D:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - F:\Programmi\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5210 bytes

Cosa devo fixare?

Half shadow

22-08-2009, 13:15

Mah, io credo di essere guarito.
Dopo aver effettuato il ripristino del giorno prima era sparito tutto, solo che durante la notte il PC mi faceva il beep di Avira quando riconosce un virus.
Allora ho eliminato tutti i rirpistini, di cui sicuramente uno doveva nascondere ancora quel virus (dato che c'è l'opzione "annulla l'ultimo ripristino") e non ha più beepato.

xcdegasp

22-08-2009, 22:28

a entrambi: segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

Alessia90

02-09-2009, 14:40

Io ho preso ieri sera questo virus e con il mio raga che è più esperto di me abbiamo cercato di eliminarlo, ma improvvisamente il pc si è riavviato e il virus si è rigenerato.
Così stamattina ho seguito un pò il procedimento che abbiamo fatto ieri, con tutti gli antyspyware e tutti i programmi che esistono e credo di averlo eliminato...o forse una buona parte..
Adesso Kaspersky sta facendo una scansione e ha trovato file legati al virus che ha già eliminato.
Ho visto che prima di eliminare il virus era necessario disattivare il ripristino configurazioni di sistema. Così stamattina l'ho fatto.
Ma perchè si fa così? e se adesso dopo che finisco la scansione e riabilito il ripristino configurazioni il virus si rigenera?
Come potete dirmi se non c'è più traccia di virus nel mio Pc? grazie mille

wjmat

02-09-2009, 17:16

xcdegasp

02-09-2009, 17:16

il ripristino di sistema nel 95% non serve a nulla ma al contrario per quella stessa percentuale risulta un comodo nascondiglio per un qualsiasi malware che potrà così in maniera semplicissima rigenerarsi ad ogni avvio del pc.

lascialo disabilitato e avrai una vita molto serena oltre a non sprecare risorse prezione di sistema come ram e spazio disco :)

MaD85

03-09-2009, 09:05

Penso di essermi preso anche io questo virus, e' stato un attimo, ho abilitato una sessione java da un sito che pensavo sicuro e invece non lo era.

Ecco tutti i log:

Malwarebytes Anti-Malware >>
Il primo log è quello di subito dopo la scansione >> http://wikisend.com/download/641778/mbam-log-2009-09-02 (09-27-08).txt
Il secondo log è quello di subito dopo la seconda scansione >> http://wikisend.com/download/468970/mbam-log-2009-09-02 (10-58-56).txt
il terzo log è quello di subito dopo la pulizia dopo la seconda scansione >> http://wikisend.com/download/450778/mbam-log-2009-09-02 (10-59-18).txt

A-Squared Free >> http://wikisend.com/download/541140/a2scan_090902-120110.txt
F-Secure OnLine >> http://wikisend.com/download/864206/f-secure.txt
Dr.Web CureIT >> http://wikisend.com/download/470262/cureit filtrato.txt
ESET SysInspector >> http://wikisend.com/download/934068/SysInspector-ATHLON-6000-090902-2339.xml
HiJackThis >> http://wikisend.com/download/556028/hijackthis.log
Gmer >> http://wikisend.com/download/584568/gmer.log
Prevx >> http://wikisend.com/download/516282/prevx.log

Chill-Out

03-09-2009, 09:32

Riallega in formato .txt i primi tre lo ovvero MBAM - A2 - F-Secure grazie.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

wjmat

03-09-2009, 09:33

xcdegasp

03-09-2009, 10:21

Penso di essermi preso anche io questo virus, e' stato un attimo, ho abilitato una sessione java da un sito che pensavo sicuro e invece non lo era.

Ecco tutti i log:

Malwarebytes Anti-Malware >> http://www.mediafire.com/?eyldo4cwy1k
Il primo log è quello di subito dopo la scansione,
Il secondo log è quello di subito dopo la seconda scansione,
il terzo log è quello di subito dopo la pulizia dopo la seconda scansione

A-Squared Free >> http://www.mediafire.com/?x95fwnynxux
F-Secure OnLine >> http://wikisend.com/download/264116/f-secure.rar
Dr.Web CureIT >> http://wikisend.com/download/470262/cureit filtrato.txt
ESET SysInspector >> http://wikisend.com/download/934068/SysInspector-ATHLON-6000-090902-2339.xml
HiJackThis >> http://wikisend.com/download/556028/hijackthis.log
Gmer >> http://wikisend.com/download/584568/gmer.log
Prevx >> http://wikisend.com/download/516282/prevx.log

dopo aver riuppato correttamente i 3 logs fai analizzare
C:\Documents and Settings\Mulo\sys32_nov.exe su virscan.org e su virustotal.com , basterà copiare l'indirizzo mostrato nel browser a fine di ogni scansione e incollarlo qui :)

appena puoi reinstalla avira e disinstalla quel preistorico firewall di sygate e installati Comodo-Firewall o OnlineArmor-Free entrambi gratuiti. sygate ormai anche un bambino saprebbe bypassarlo visti gli innumerevoli tools e virus con tali funzionalità incorporate :D

MaD85

03-09-2009, 10:37

Ho messo i log a post.

Avira c'e' gia' installato, non l'ho mai disinstallato.

"sys32_nov.exe" in quella cartella ora non compare. Ho fatto un search sul C: e non lo trova piu'. Probabilmente sta in quarantena in uno di quei programmi.

Avevo Online Armor ma era molto invasivo e mi pare avessi un problema di conflitti con un altro.

Ho ancora Sygate perche' confido nella NAT (essendo FW). >_> Sbaglio ve? :mc:

AngeloxX

03-09-2009, 10:40

Salve ragazzi.. mi unisco anchio all'orda di gente che chiede aiuto, perchè penso di avere il caso più gravo di braviax :P per il fatto che ogni riavvio mi spuntano nuovi rootkit, trojan e chi più ne ha più ne metta.. il virus l'ho preso da un sito di torrent..
I più ricorrenti (quelli che non mancano mai) sono sys32_nov.exe, figaro.sys, braviax.exe e beep.sys.
Ho provato a cancellare beep, fare la scansione ed eliminare i file ma a quanto pare non funziona...
I programmi che ho usato sono malwarebyte, spyware doctor, avira antivir e spybot ma nessuno di questi riesce a risolvere il problema.
La cosa strana è che ogni volta mi spuntano virus nuovi (sys32_nov.exe ieri non c'era, e ora appena avviato il pc è spuntato anche ASPack_.sdupk)
Un'altra cosa strana è che Avira non parte più all'avvio del computer ma devo aprirlo manualmente..

Ecco il log di HiJackThis ( Dopo che ho provato a fixare sys32_nov.exe con HiJackThis ha tentato di riaggiungersi, ma gliel'ho impedito con SpyBot. Adesso sto scansionando di nuovo con malware byte..):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.33.24, on 03/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\sys32_nov.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Angelo\sys32_nov.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Spyware Doctor\pctsGui.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA6414] command.com /c del "C:\WINDOWS\system32\braviax.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8719] cmd.exe /c del "C:\WINDOWS\system32\braviax.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [uTorrent] "C:\Programmi\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [sys32_nov] C:\Documents and Settings\Angelo\sys32_nov.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Spin Palace Casino - 5FAB2FD8-00FE-4FA9-9774-6E9E1CAF8B66 - C:\Microgaming\Casino\SpinPalace\Casinogame.exe (HKCU)
O9 - Extra button: All Slots Casino - EF8A4798-B401-4ECF-8306-8F9C1771BF30 - C:\Microgaming\Casino\AllSlots\Casinogame.exe (HKCU)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe

--
End of file - 6789 bytes

Consigli? :S

xcdegasp

03-09-2009, 11:05

doppione..

xcdegasp

03-09-2009, 11:06

leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

MaD85

03-09-2009, 20:05

Scusate io intanto che fo'? :eek:

Chill-Out

03-09-2009, 20:49

Scusate io intanto che fo'? :eek:

Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno du spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked

O4 - HKLM\..\Run: [tvcc] C:\WINDOWS\system32\tvcc.exe
O4 - HKCU\..\Run: [tvcc] C:\WINDOWS\system32\tvcc.exe
O4 - HKCU\..\Run: [sys32_nov] C:\Documents and Settings\Mulo\sys32_nov.exe
O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab

successivamente ripeti scansione completa con MBAM e A2

Riepilogo log da allegare:
MBAM
A2
Nuovo log HJT

MaD85

04-09-2009, 10:06

Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno du spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked

successivamente ripeti scansione completa con MBAM e A2

Riepilogo log da allegare:
MBAM
A2
Nuovo log HJT
Ecco i log.

MBAM prima della quarantena >> http://wikisend.com/download/548874/mbam-log-2009-09-04 (11-00-21).txt
MBAM dopo >> http://wikisend.com/download/601870/mbam-log-2009-09-04 (11-00-26).txt
HJT >> http://wikisend.com/download/602130/hijackthis.log

A2 che cos'e' pero'? :mc:

E visto che ci sto vi chiedo un'altra cosa, usando CCleaner per riparare le chiavi di registro, da un po' di tempo mi si presenta sempre la stessa chiave ad ogni scansione, anche se la riparo ogni volta:

http://img215.imageshack.us/img215/7355/mwsnap225.jpg (http://img215.imageshack.us/i/mwsnap225.jpg/)

Si puo' risolvere? Non lo so eliminare la voce, oppure capire qual'e' il problema...

Chill-Out

04-09-2009, 10:22

A2 = a-squared, attendo il log.

Estratto dal log di MBAM

Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

No action taken - significa che non hai ripristinavo i valori di default inerenti il Centro sicurezza OC di Win valuta tu cosa fare

Per quanto concerne Ccleaner quella è una chiave appartenente ad Avira Antivir

Alessia90

04-09-2009, 12:53

Io ho cancellato molti dei programmi che ho utilizzato per eliminarlo.
Posso postare adesso il log di Hijackthis così potete dirmi se il mio pc è ancora infetto.
Ci sono anche altri programmi che posso utilizzare in modo da postare qui il log per avere conferme ancora più sicure?

Ecco il log di Hijackthis (scusate ma nelle regole di sezione non ho capito bene come dovevo postarlo e non riesco ad allegare il file):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.51.05, on 04/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\HP\QuickPlay\QPService.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programmi\PowerISO\PWRISOVM.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\File comuni\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programmi\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=64&bd=pavilion&pf=laptop
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sweetale29.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://sweetale29.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,916,0
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E925318-A84A-4187-BF66-0B46D34BF5EC}: NameServer = 85.37.17.39 85.38.28.71
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9001 bytes

xcdegasp

04-09-2009, 13:25

@ Alessia90:

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)

poi fai un log con malwarebytes, un log con a-squared, un log con prevx ed infine un nuovo log con a-squared ma i log devi pubblicarli hostandoli su uno di quei server indicati e copiandone qui il link per scaricarli.

Malwarebytes Anti-Malware -> info e download (http://www.malwarebytes.org/mbam.php)
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controlo si trova nel Tab "File di log").

A-Squared Free v4.x (eseguite l'aggiornamento riavviate il programma e poi eseguite la
scansione COMPLETA) -> download (http://www.emsisoft.com/en/software/free/#download) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1564958)
_ esiste anche la versione che non richiede installazione: a-squared emergency USB -> download (http://download1.emsisoft.com/a2usb.zip) / a-squared Command Line Scanner -> download (http://download1.emsisoft.com/a2cmd.zip) | guida (http://www.hwupgrade.it/forum/showpost.php?p=19072773&postcount=31)
è da eseguire da linea di comando utile anche su pc in cui non si gode di privilegi di utenza d'Amministratore.
a fine scansione premere "sposta in Quarantena" e poi "Salva Rapporto" quindi pubblicare questo rapporto (= log) verrà mostrato dove verrà salvato, in caso ci si dimenticasse i logs sono archiviati in %USERPROFILE%\My Documents\a-squared\Reports ovvero C:\Documents and Settings\nomeutente\My Documents\a-squared\Reports

Prevx 3.0 -> download (http://info.prevx.com/downloadcsi.asp) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1923599) (necessita di connessione internet)
a fine scansione eseguire una stampa del monitor o della finestra di Prevx e salvare il log ("options" -> "save a log file")

HiJackThis -> download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
avviatelo e premete "scan & log" poi salvare il report generato
si raccomanda di scompattare HiJackThis in una directory esclusiva, quindi non sul desktop!
se si desiderasse farsi analizzare solo questo log allora dovete usare HiJackThis - Analisi Log - leggere Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=937676) o potete analizzarlo in autonomia grazie a Questa Guida (http://www.hwupgrade.it/forum/showthread.php?t=734483) altrimenti proseguite con la Guida

MaD85

04-09-2009, 14:32

A2 = a-squared, attendo il log.

Estratto dal log di MBAM

No action taken - significa che non hai ripristinavo i valori di default inerenti il Centro sicurezza OC di Win valuta tu cosa fare

Per quanto concerne Ccleaner quella è una chiave appartenente ad Avira Antivir
Ecco il log di A2 >> http://wikisend.com/download/439742/a2scan_090904-120045.txt

Per il centro sicurezza ho abilitato le voci manualmente.

Per la chiave, non si puo' evitare che compaia ad ogni search?

Chill-Out

04-09-2009, 14:35

Ecco il log di A2 >> http://wikisend.com/download/439742/a2scan_090904-120045.txt

Per il centro sicurezza ho abilitato le voci manualmente.

Per la chiave, non si puo' evitare che compaia ad ogni search?

Dal log di A2 non si capisce quale azione hai intrapreso, per escludere la chiave procedi così:

CCleaner -> Opzioni -> Esclusioni - Aggiungi Registro -> HKCR ed aggiungi la chiave in questione

Alessia90

04-09-2009, 14:42

Previx l'avevo già utilizzato ma senza licenza o codice se pur mi trova delle infezioni non posso cancellarlo.
E non so nemmeno come salvare il log.
Questo è il risultato della scansione:
http://i32.tinypic.com/29osl6a.png

Alessia90

04-09-2009, 15:01

questo il log di Malware
mbam-log-2009-09-04 (15-59-40).txt (http://wikisend.com/download/253012/mbam-log-2009-09-04 (15-59-40).txt)

MaD85

04-09-2009, 16:01

Dal log di A2 non si capisce quale azione hai intrapreso, per escludere la chiave procedi così:

CCleaner -> Opzioni -> Esclusioni - Aggiungi Registro -> HKCR ed aggiungi la chiave in questione

Perfetto.

Con A2 ho selezionato tutti i cookie e "Messi in quarantena", le voci hfs, e mirc non le ho toccate, sono dei falsi positivi.

Chill-Out

04-09-2009, 16:04

Perfetto.

Con A2 ho selezionato tutti i cookie e "Messi in quarantena", le voci hfs, e mirc non le ho toccate, sono dei falsi positivi.

Beh c'era qualche altra cosa da spostare in quarantena, comunque siamo a posto ti suggerisco pertanto di leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

wjmat

04-09-2009, 17:06

questo il log di Malware
mbam-log-2009-09-04 (15-59-40).txt (http://wikisend.com/download/253012/mbam-log-2009-09-04 (15-59-40).txt)

non hai fatto scansione completa e non si vede se hai eliminato le voci trovate
la scansione con prevx la rifai dopo le passate di mbam e asquared e il log lo carichi in formato testuale

MaD85

04-09-2009, 17:57

Beh c'era qualche altra cosa da spostare in quarantena, comunque siamo a posto ti suggerisco pertanto di leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Anche le altre ultime voci erano falsi positivi.

Ti ringrazio per tutto l'aiuto che mi hai dato.

Speriamo di non averne più bisogno! :D

Staro' bene attento la prox volta ad abilitare le connessioni java. :stordita:

Ciao e tnx.

Chill-Out

04-09-2009, 17:58

Anche le altre ultime voci erano falsi positivi.

Ti ringrazio per tutto l'aiuto che mi hai dato.

Speriamo di non averne più bisogno! :D

Staro' bene attento la prox volta ad abilitare le connessioni java. :stordita:

Ciao e tnx.

Prego, ciao :)